還有多少App在窺視個(gè)人隱私 支付寶年度賬單事件背后

“默認(rèn)同意”讀取通訊錄、照片等在互聯(lián)網(wǎng)行業(yè)并不少見(jiàn)。（視覺(jué)中國(guó)/圖）

　　原標(biāo)題：還有多少App在窺視你的個(gè)人隱私 支付寶“2017年賬單”事件背后

　　來(lái)源：南方周末

　?。ū疚氖装l(fā)于2018年1月11日《南方周末》）

　　互聯(lián)網(wǎng)技術(shù)發(fā)展對(duì)個(gè)人隱私帶來(lái)了巨大挑戰(zhàn)，支付寶“2017年賬單”事件也許只是壓垮駱駝的那根稻草。網(wǎng)友的質(zhì)疑和憤怒，從側(cè)面反映出目前個(gè)人數(shù)據(jù)權(quán)益保護(hù)現(xiàn)狀不容樂(lè)觀。

　　對(duì)于用戶數(shù)據(jù)的第一次收集和使用，App方正確做法應(yīng)該是遵循默認(rèn)拒絕原則，即默認(rèn)不勾選。支付寶賬單的“同意”服務(wù)協(xié)議行為屬于濫用默認(rèn)同意規(guī)則，違反了關(guān)于個(gè)人隱私保護(hù)的倫理共識(shí)。

　　“用戶的隱私完全沒(méi)有得到保護(hù)和尊重?！笨吹?span id="usstock_WB">微博上對(duì)支付寶的質(zhì)疑，一個(gè)小時(shí)前剛在微信朋友圈分享了自己支付寶年賬單的周超感到憤怒。當(dāng)天，他將手機(jī)上的App檢查了一遍，將允許讀取通訊錄或短信的設(shè)置，統(tǒng)統(tǒng)修改為不允許。

　　2018年1月3日，支付寶面向其用戶推出個(gè)性化的“2017支付寶年賬單”。不少網(wǎng)友紛紛在社交媒體曬出了自己的年賬單，一度引起刷屏。然而，很快有律師指出支付寶與芝麻信用間的“授權(quán)漏洞”，網(wǎng)友意識(shí)到自己可能“被同意了”一個(gè)名為《芝麻服務(wù)協(xié)議》的用戶協(xié)議，事情因此急轉(zhuǎn)直下，網(wǎng)友對(duì)支付寶侵犯?jìng)€(gè)人隱私的質(zhì)疑引起又一輪刷屏。

　　當(dāng)天，芝麻信用和支付寶對(duì)此進(jìn)行了糾正和公開(kāi)道歉。但是圍繞此事件及其衍生出的用戶數(shù)據(jù)隱私、個(gè)人數(shù)據(jù)權(quán)益保護(hù)問(wèn)題，還是引發(fā)眾多專業(yè)人士的關(guān)注和討論。

　　在對(duì)支付寶提出批評(píng)的同時(shí)，一些評(píng)論人士表示，在數(shù)據(jù)隱私未得到充分重視和保護(hù)的現(xiàn)狀下，此事件帶來(lái)大規(guī)模的網(wǎng)友對(duì)個(gè)人數(shù)據(jù)隱私的關(guān)注，或意味著用戶數(shù)據(jù)隱私觀念的覺(jué)醒，是該事件積極的一面。

　　那么芝麻信用和支付寶到底做錯(cuò)了什么？還有多少互聯(lián)網(wǎng)智能手機(jī)應(yīng)用（又稱“App”）在窺視甚至侵犯你的數(shù)據(jù)隱私？在當(dāng)前的互聯(lián)網(wǎng)時(shí)代，又究竟該如何保護(hù)個(gè)人的數(shù)據(jù)權(quán)益？

　　支付寶賬單引質(zhì)疑被濫用的“默認(rèn)同意”

　　“2017支付寶年賬單”展示的信息主要為，用戶在這一年通過(guò)支付寶購(gòu)買(mǎi)各類商品和服務(wù)的統(tǒng)計(jì)記錄。但在該賬單中，有一個(gè)頁(yè)面的信息來(lái)自芝麻信用提供的信用守約情況，而非來(lái)自支付寶的交易記錄。

　　支付寶（中國(guó)）網(wǎng)絡(luò)技術(shù)有限公司（以下簡(jiǎn)稱“支付寶”）和芝麻信用管理有限公司（以下簡(jiǎn)稱“芝麻信用”）是螞蟻金融服務(wù)集團(tuán)旗下的兩家公司。因?yàn)閮杉夜鞠鄬?duì)獨(dú)立，支付寶在調(diào)用芝麻信用的數(shù)據(jù)時(shí)，必須經(jīng)過(guò)用戶授權(quán)，因此支付寶在年度賬單的首頁(yè)設(shè)置了“我同意《芝麻服務(wù)協(xié)議》”這一選項(xiàng)。

　　這一設(shè)置引起了北京市岳成律師事務(wù)所岳屾山律師的注意。2018年1月3日13時(shí)許，岳屾山在微博指出，“我同意《芝麻服務(wù)協(xié)議》”這行字不但字號(hào)特別小，而且已經(jīng)幫用戶選擇好“同意”了。若用戶未注意到這行字，就會(huì)直接同意這個(gè)協(xié)議，允許支付寶收集用戶的信息包括在第三方保存的信息。他還引用相關(guān)法規(guī)表示，芝麻信用“默認(rèn)同意”的設(shè)置沒(méi)有給用戶了解條款的機(jī)會(huì)，用戶“稍不注意就進(jìn)坑了”。

　　“設(shè)坑使用戶簽署協(xié)議本質(zhì)上屬于欺騙。”2018年1月6日，湖南師范大學(xué)人工智能道德決策研究所所長(zhǎng)李倫教授在接受南方周末采訪時(shí)分析指出，對(duì)于數(shù)據(jù)的第一次收集和使用，正確做法應(yīng)該是遵循默認(rèn)拒絕原則，即默認(rèn)不勾選。支付寶的上述行為屬于濫用默認(rèn)同意規(guī)則，違反了關(guān)于個(gè)人隱私保護(hù)的倫理共識(shí)。

　　在西南政法大學(xué)民商法學(xué)院教授張建文看來(lái)，此事件中，支付寶除了違背了基本的商業(yè)道德，更是違反了《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》中的相關(guān)規(guī)定，明顯侵害了消費(fèi)者的自主選擇權(quán)。

　　2018年1月3日下午，中國(guó)消費(fèi)者報(bào)微信公眾號(hào)引用岳屾山的該條微博發(fā)布相關(guān)文章，使得輿論對(duì)支付寶的質(zhì)疑進(jìn)一步擴(kuò)大。據(jù)財(cái)新網(wǎng)報(bào)道，當(dāng)日下午央行支付司要求支付寶對(duì)此糾正并致歉。

　　當(dāng)日23時(shí)許，芝麻信用在新浪微博發(fā)布“查看支付寶年賬單時(shí)‘被同意《芝麻服務(wù)協(xié)議》’的情況說(shuō)明”承認(rèn)“這件事，肯定是錯(cuò)了”。此外，芝麻信用還表示：已經(jīng)調(diào)整了頁(yè)面，取消默認(rèn)勾選；此前沒(méi)有開(kāi)通芝麻信用的用戶，不會(huì)因此被收集信息。隨后，支付寶轉(zhuǎn)發(fā)了這條微博。

　　“默認(rèn)同意規(guī)則被濫用的情況非常普遍?！?018年1月6日，上?，斈葦?shù)據(jù)科技發(fā)展基金會(huì)創(chuàng)始人、副理事長(zhǎng)張唯對(duì)南方周末表示，支付寶引發(fā)質(zhì)疑的“默認(rèn)同意”行為在互聯(lián)網(wǎng)行業(yè)并不少見(jiàn)。

　　據(jù)媒體報(bào)道，2017年10月，攜程在銷售機(jī)票時(shí)默認(rèn)勾選酒店券、接機(jī)券等銷售行為引發(fā)消費(fèi)者聲討。之后，攜程對(duì)其機(jī)票產(chǎn)品進(jìn)行了整改，推出“普通預(yù)訂”窗口，該頁(yè)面內(nèi)所有的附加商品均為默認(rèn)未勾選。

　　除了“默認(rèn)搭售”之外，在湖北省荊州市一家物流公司工作的周超發(fā)現(xiàn)“默認(rèn)讀取”的現(xiàn)象也很常見(jiàn)，“現(xiàn)在幾乎所有的App都會(huì)要求訪問(wèn)用戶的通訊錄，一些雖然可以選擇不允許，但安裝使用的時(shí)候都是被默認(rèn)允許的狀態(tài)”。周超曾在手機(jī)上下載過(guò)一款跑酷游戲App，安裝完成后，提示要讀取地址和通訊錄，方可啟動(dòng)游戲。周超心想，一款游戲而已，為什么要訪問(wèn)通訊錄？于是他選擇了不允許讀取，隨即游戲界面自動(dòng)退出。反復(fù)試了兩三次后，周超卸載了這款游戲。

　　在北京一家互聯(lián)網(wǎng)公司從事數(shù)據(jù)挖掘工作的劉強(qiáng)強(qiáng)，則遭遇過(guò)同樣惡劣的“默認(rèn)發(fā)布”行為。

　　2017年10月初，劉強(qiáng)強(qiáng)下載了一款名為“脈脈”的職場(chǎng)社交App。用了不到兩周，一位同事收到包含劉強(qiáng)強(qiáng)的真實(shí)姓名在內(nèi)的邀請(qǐng)其下載該軟件的短信?！罢f(shuō)我標(biāo)注了他，要想查看需下載，壓根沒(méi)有的事，”看到同事發(fā)來(lái)的截圖，劉強(qiáng)強(qiáng)感到氣憤，“領(lǐng)導(dǎo)要是收到怎么辦，還以為我在脈脈上找機(jī)會(huì)跳槽。”當(dāng)天卸載了該軟件并注銷了賬號(hào)。

　　2017年11月15日，國(guó)家工信部發(fā)布的一份手機(jī)App抽檢結(jié)果公告顯示，有31款軟件涉及違規(guī)收集使用用戶個(gè)人信息、惡意“吸費(fèi)”等問(wèn)題。

　　李倫認(rèn)為，互聯(lián)網(wǎng)技術(shù)的發(fā)展對(duì)個(gè)人隱私帶來(lái)了巨大的挑戰(zhàn)，支付寶年賬單事件也許只是壓垮駱駝的那根稻草?！霸谥Ц秾毷录?，網(wǎng)友出現(xiàn)大規(guī)模的質(zhì)疑和憤怒，其實(shí)從側(cè)面反映出目前個(gè)人數(shù)據(jù)權(quán)益保護(hù)的現(xiàn)狀不容樂(lè)觀。”

　　數(shù)據(jù)資產(chǎn)時(shí)代脆弱的個(gè)人隱私權(quán)利

　　2017年12月25日，由全國(guó)人大常委會(huì)執(zhí)法檢查組委托中國(guó)青年報(bào)社社會(huì)調(diào)查中心所做的“萬(wàn)人調(diào)查報(bào)告”顯示，有超過(guò)六成受訪者遇到過(guò)互聯(lián)網(wǎng)應(yīng)用默認(rèn)讀取，甚至強(qiáng)制讀?。ú煌庾x取則無(wú)法使用軟件）的情況。

　　張建文分析認(rèn)為，造成這一現(xiàn)象的原因在于，在當(dāng)前互聯(lián)網(wǎng)服務(wù)中，服務(wù)提供商和用戶之間存在明顯不對(duì)等的關(guān)系。相對(duì)于用戶而言，服務(wù)提供商明顯占據(jù)優(yōu)勢(shì)地位，其在服務(wù)協(xié)議中事先設(shè)置“默認(rèn)同意”，如果用戶取消勾選同意，將不能享有該項(xiàng)服務(wù)內(nèi)容，用戶處于被動(dòng)的地位，缺乏充分的自主選擇權(quán)。另外，“默認(rèn)同意”的法律定性及相應(yīng)法律責(zé)任并不明晰，這給網(wǎng)絡(luò)服務(wù)提供商“鉆空子”“打擦邊球”造成了可乘之機(jī)。

　　“個(gè)人隱私權(quán)在企業(yè)數(shù)據(jù)權(quán)力面前極為脆弱?！崩顐愐舱J(rèn)同個(gè)人在互聯(lián)網(wǎng)企業(yè)面前是處于弱勢(shì)地位的。

　　李倫進(jìn)一步分析指出，互聯(lián)網(wǎng)應(yīng)用侵犯用戶數(shù)據(jù)權(quán)益的情況之所以普遍存在主要有三個(gè)方面的原因：一、企業(yè)對(duì)于商業(yè)利益的追求，新型互聯(lián)網(wǎng)產(chǎn)業(yè)對(duì)于個(gè)人信息的依賴程度較高，對(duì)于用戶的個(gè)人信息掌握越充分，越能做到精準(zhǔn)營(yíng)銷；二、信息技術(shù)和數(shù)據(jù)技術(shù)使得隱私受到威脅的程度大為增加了，信息技術(shù)可以使原始數(shù)據(jù)的獲取變得更加便利，而數(shù)據(jù)技術(shù)的進(jìn)步則可以從雜亂的、碎片化的數(shù)據(jù)中還原出個(gè)人的信息。三、目前對(duì)于個(gè)人數(shù)據(jù)的權(quán)利歸屬尚未統(tǒng)一，因此實(shí)踐中對(duì)其進(jìn)行保護(hù)有所困難。

　　“數(shù)據(jù)就是資產(chǎn)，”張唯認(rèn)為，個(gè)人信息確實(shí)越來(lái)越受到各個(gè)企業(yè)的關(guān)注?！疤貏e是前幾年，國(guó)家對(duì)于互聯(lián)網(wǎng)行業(yè)采取了一種更加開(kāi)放的、支持的態(tài)度，對(duì)于個(gè)人數(shù)據(jù)隱私保護(hù)的力度遠(yuǎn)遠(yuǎn)不夠。這在某種程度上促成了很多企業(yè)對(duì)數(shù)據(jù)的不合理的獲取。去年的網(wǎng)絡(luò)安全法實(shí)施之后，這個(gè)情況有一些好轉(zhuǎn)。”

　　2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，針對(duì)個(gè)人信息保護(hù)明確規(guī)定：網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及用戶個(gè)人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

　　此外，《互聯(lián)網(wǎng)交易管理辦法》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》等均對(duì)個(gè)人信息保護(hù)作出了規(guī)定。

　　“這些規(guī)定都是比較粗略的，對(duì)于現(xiàn)在比較模糊的個(gè)人信息的界定、個(gè)人信息的使用范圍，如何才算是合規(guī)地傳遞個(gè)人信息，這些在目前的法律體系里面都沒(méi)有細(xì)化的規(guī)定。因此，互聯(lián)網(wǎng)企業(yè)也難以細(xì)化地進(jìn)行相應(yīng)的調(diào)整?！鄙虾Ｐ清蓭熓聞?wù)所主管律師阮靄倩對(duì)南方周末表示，雖然目前在國(guó)內(nèi)，對(duì)于個(gè)人信息的保護(hù)，已經(jīng)有一些相應(yīng)的法律法規(guī)，但是缺乏一部系統(tǒng)的法律進(jìn)行規(guī)范。

　　阮靄倩指出，另一方面，國(guó)內(nèi)對(duì)于侵犯?jìng)€(gè)人信息權(quán)益的違法行為的懲罰制度，目前也不是很完善。而在歐盟國(guó)家，若企業(yè)侵犯?jìng)€(gè)人信息權(quán)利，可能會(huì)面臨50萬(wàn)到2000萬(wàn)歐元不等的巨額罰款。

　　美國(guó)歐盟經(jīng)驗(yàn)多方博弈中爭(zhēng)取權(quán)益

　　盡管美國(guó)、歐盟等發(fā)達(dá)國(guó)家，對(duì)于個(gè)人數(shù)據(jù)權(quán)益的保護(hù)出臺(tái)了更為系統(tǒng)的法律，但在實(shí)際中，互聯(lián)網(wǎng)公司的自身發(fā)展與用戶的隱私保護(hù)之間的紛爭(zhēng)一直存在。業(yè)內(nèi)人士指出，個(gè)人數(shù)據(jù)權(quán)益的保護(hù)可以說(shuō)是在互聯(lián)網(wǎng)公司與用戶等各方的博弈中不斷前進(jìn)。

　　在歐盟，存在通用的數(shù)據(jù)信息保護(hù)條款，相應(yīng)的權(quán)利的保護(hù)也更加嚴(yán)格。最廣為人知的是數(shù)據(jù)的遺忘權(quán)，即用戶在某平臺(tái)注銷了賬戶，其留在該平臺(tái)上的所有歷史數(shù)據(jù)記錄需要被同步消除，后期在沒(méi)有得到該用戶的授權(quán)的情況下，平臺(tái)不能繼續(xù)給該用戶提供相應(yīng)的服務(wù)。

　　“這些條款規(guī)定確實(shí)是比較嚴(yán)格，有聲音認(rèn)為這其實(shí)束縛了產(chǎn)業(yè)的發(fā)展?！睆埼ㄖ赋?，《歐盟數(shù)據(jù)保護(hù)一般規(guī)則》中的一些條款在美國(guó)并未得到認(rèn)同和實(shí)施。

　　“美國(guó)對(duì)于隱私權(quán)的理解與歐盟不同，更多地建立在自由的基礎(chǔ)上，以行業(yè)自律為主導(dǎo)?！睋?jù)李倫介紹，對(duì)于個(gè)人數(shù)據(jù)權(quán)益保護(hù)，美國(guó)有多種形式的行業(yè)自律組織。其中，網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃頗具特色：網(wǎng)站提出申請(qǐng)，經(jīng)過(guò)第三方隱私認(rèn)證機(jī)構(gòu)認(rèn)證后，可以在其網(wǎng)頁(yè)上放置“信任標(biāo)志”，以此表示將遵守網(wǎng)絡(luò)隱私保護(hù)和數(shù)據(jù)收集的原則，以及接受相應(yīng)的監(jiān)督。

　　對(duì)此，張唯認(rèn)為，第三方評(píng)估可能會(huì)起到一定指引作用。在國(guó)內(nèi)，若有第三方評(píng)估機(jī)構(gòu)對(duì)互聯(lián)網(wǎng)企業(yè)、對(duì)個(gè)人信息保護(hù)等行為進(jìn)行評(píng)測(cè)，會(huì)給用戶以提醒和支持作用。

　　盡管擁有豐富的行業(yè)自律組織，以及多部關(guān)于隱私權(quán)的法律法規(guī)，在美國(guó)，互聯(lián)網(wǎng)企業(yè)與用戶隱私保護(hù)之間的沖突仍然屢屢出現(xiàn)。李倫向南方周末介紹了Facebook的例子：2007年Facebook發(fā)布燈塔廣告項(xiàng)目，用戶在該項(xiàng)目的合作網(wǎng)站上的訪問(wèn)數(shù)據(jù)，都會(huì)顯示在Facebook網(wǎng)站上。用戶反應(yīng)強(qiáng)烈，認(rèn)為該項(xiàng)目侵犯了他們的隱私，不少隱私保護(hù)機(jī)構(gòu)也提出了激烈的批評(píng)，兩年后Facebook放棄了這一項(xiàng)目。2009年，F(xiàn)acebook修改了使用條款，對(duì)用戶刪除了的上傳資料依然具有使用權(quán)，又激發(fā)了用戶的抗議，最后Facebook放棄了這一條款，重新修改后征求用戶的意見(jiàn)。

　　在張唯看來(lái)，由于美國(guó)互聯(lián)網(wǎng)行業(yè)獨(dú)特的競(jìng)爭(zhēng)態(tài)勢(shì)，美國(guó)對(duì)于個(gè)人數(shù)據(jù)權(quán)益的保護(hù)，也是一個(gè)多方利益博弈的過(guò)程。對(duì)于中國(guó)而言，不能完全照搬美國(guó)或歐盟的模式，既不能因?yàn)閷?duì)個(gè)人數(shù)據(jù)的過(guò)度保護(hù)影響產(chǎn)業(yè)的發(fā)展，也不能因?yàn)橐苿?dòng)行業(yè)發(fā)展，就漠視個(gè)人的權(quán)利。

　　面對(duì)當(dāng)前這個(gè)越來(lái)越以數(shù)據(jù)為基礎(chǔ)的社會(huì)，如何才能保障個(gè)人的數(shù)據(jù)權(quán)益？

　　對(duì)此，阮靄倩指出，互聯(lián)網(wǎng)企業(yè)在采集數(shù)據(jù)時(shí)要在合法的框架內(nèi)進(jìn)行，嚴(yán)格把控?cái)?shù)據(jù)采集的界限，并建立相應(yīng)的內(nèi)控體系，防范信息被盜取。

　　張建文則建議，應(yīng)當(dāng)積極推動(dòng)個(gè)人信息保護(hù)法的出臺(tái)，通過(guò)專門(mén)的個(gè)人信息保護(hù)立法為用戶的數(shù)據(jù)隱私提供全面有效的保護(hù)規(guī)范。此外，在執(zhí)法層面，應(yīng)當(dāng)加強(qiáng)執(zhí)法效果，對(duì)于違反用戶數(shù)據(jù)隱私的違法行為予以嚴(yán)格執(zhí)法。

　　對(duì)于用戶自身而言，張唯提出，個(gè)人要明確認(rèn)知和充分尊重自己的權(quán)利，知道在現(xiàn)有的法律框架下，是有法律對(duì)于自己的個(gè)人數(shù)據(jù)進(jìn)行保護(hù)和保障的，在參與每個(gè)用戶協(xié)議時(shí)，對(duì)自己的行為進(jìn)行負(fù)責(zé)。但張唯也指出，要求個(gè)人都能夠理解和認(rèn)知所有的用戶協(xié)議，嚴(yán)格來(lái)講是不公平的。在現(xiàn)有的技術(shù)和產(chǎn)業(yè)格局下，更關(guān)鍵的是需要行業(yè)和政府對(duì)于個(gè)人信息權(quán)益保護(hù)的模式和規(guī)則進(jìn)行完善。

　　“需要一些示范性的事件出現(xiàn)，比如這次的支付寶事件可能就會(huì)推動(dòng)整個(gè)行業(yè)內(nèi)對(duì)于用戶規(guī)則這個(gè)層面進(jìn)行一系列的修正?！睆埼ū硎?，作為行業(yè)領(lǐng)袖的支付寶如果能進(jìn)一步加強(qiáng)對(duì)自身的約束，對(duì)于整個(gè)行業(yè)對(duì)個(gè)人信息權(quán)益保護(hù)的升級(jí)和優(yōu)化，是有積極作用的。

　　（應(yīng)采訪對(duì)象要求，周超為化名）